aivision 安全专题

网络安全专题

从威胁到防御,从云到零信任——快速构建你的安全知识图谱与实践清单。

开始了解 查看工具与资源

网络安全主题介绍

范围与目标

安全的核心目标是保密性(C)、完整性(I)与可用性(A)。以 安全设计默认安全 为原则,贯穿产品与服务的全生命周期。

  • 安全设计(Security by Design):威胁建模、最小权限、数据保护
  • 默认安全(Secure by Default):安全的默认配置与开箱即用的防护
  • 生命周期管理:发现→修复→验证→复盘→基线更新

重点领域

  • 应用与 API 安全:鉴权、速率限制、输入校验、日志审计
  • 云与容器安全:身份与网络基线、镜像签名、运行时策略
  • 供应链安全:SBOM、依赖扫描、发布签名与回滚策略
  • 零信任与身份:持续验证、微分段、最小权限

你可以从下方各章节深入实践并构建自己的安全清单。

威胁概览

攻击面与常见战术

常见攻击战术包括社会工程、凭证泄露、供应链攻击、内网横向移动与数据外泄。

  • 钓鱼与社工:邮件、短信、仿冒登录页
  • 凭证攻击:弱口令、撞库、暴力破解
  • 横向移动:利用远程执行、共享凭证与信任关系
  • 数据外泄:云存储误配、API 滥用、加密不足

威胁情报与框架

用结构化框架统筹攻防视角,提升检测与响应的系统性。

常见漏洞

Web 与 API

  • 注入与命令执行:输入未校验、拼接 SQL/系统命令
  • 身份与会话:会话固定、JWT 滥用、令牌泄露
  • 访问控制:越权访问、ID 枚举、对象未授权
  • 配置与加密:敏感信息暴露、过时 TLS、CORS 误配

参考 OWASP 最佳实践与清单。

依赖与供应链

  • 第三方库漏洞与未及时更新
  • 构建与发布流程被篡改
  • 包镜像与来源信任不足

建议使用依赖扫描、SBOM 与签名验证。

防御策略

基础安全控制

  • 最小权限与强制访问控制
  • 多因素认证(MFA)与密码策略
  • 日志可观测性与集中化告警
  • 漏洞管理与补丁基线

检测与响应

  • 终端与网络检测(EDR/NDR)
  • 基线偏移检测与异常行为分析
  • 剧本化响应(SOAR)与演练

云与容器安全

云配置与身份

  • IAM 最小权限与条件访问
  • 存储加密与公网暴露检查
  • 安全组与网络基线(VPC/NSG)

容器与镜像

  • 镜像扫描与签名验证
  • 运行时策略与隔离(seccomp/AppArmor)
  • 供应链安全(构建、仓库、拉取策略)

零信任与身份

核心原则

  • 从不默认信任,持续验证
  • 微分段与最小权限
  • 强身份与设备合规

实践路径

  • 统一身份与 SSO、条件访问策略
  • 应用与 API 访问控制网关
  • 细粒度审计与策略评估

安全事件响应

准备与演练

  • 制定分级响应剧本与联系人清单
  • 桌面演练与红蓝对抗
  • 取证与证据链保全流程

处置与恢复

  • 隔离、清除与修复
  • 回归测试与加固
  • 事后复盘与改进(Postmortem)

欧盟《网络韧性法案》(CRA)简介

什么是 CRA

CRA(Cyber Resilience Act)是欧盟针对“含数字元素的产品”的网络安全法规,旨在提升产品的整体安全水平与事件韧性。

  • 覆盖范围:含软件/固件/联网功能的产品及其组件
  • 核心目标:安全设计、漏洞处理、透明度与持续更新
  • 合规标识:满足要求后可进行符合性评估并加贴 CE 标识

关键义务与要求

  • 安全设计与风险评估:在设计与开发阶段实施系统性风险控制
  • 漏洞管理与披露:建立接收与处理漏洞流程,按时修复并告知
  • 更新与支持周期:在合理周期内提供安全更新与通知
  • 文档与透明度:提供安全文档(含组件清单 SBOM、配置与使用指南)

落地实践建议

  • 建立 SDL 流程:威胁建模、代码审计、依赖治理与发布签名
  • SBOM 与供应链:生成组件清单、扫描风险、验证来源与完整性
  • 漏洞处理:公开安全联络渠道,制定补丁时限与回归验证
  • 事件响应:准备应急剧本、保留审计日志、事后复盘与改进

CRA 的具体时间线与条款以欧盟官方发布与实施细则为准,建议结合实际产品分类选择合规路径。

新能源网络安全应用

EV 充电与车桩通信安全

EV Charging Station in Barcelona
  • OCPP 2.0.1 安全事件与证书生命周期,充电桩配置防护
  • ISO 15118 Plug&Charge(EVCC-SECC)双向 TLS 与 PKI
  • 设备可信根与固件签名,防止伪造与篡改

参考: OCPP 2.0.1 新特性与安全 · ISO 15118

光伏电站与 SCADA 安全

Aerial view of solar farm
  • 网络分区与通道(Zones/Conduits),最小化横向移动
  • 白名单与协议深度检测(Modbus/OPC-UA 等)
  • 异常检测与告警剧本,工艺安全优先

参考: SCADA 概览图 · IEC 62443

风电/储能设施安全

Wind farm
  • 现场设备与站控系统分层隔离,零信任接入
  • 日志集中与告警关联,异常工况快速处置
  • 固件/配置签名与回滚机制,提升韧性

参考: SCADA 参考

工具与资源

学习路径

  • 基础:网络与操作系统、加密与认证
  • 进阶:云与容器、攻防对抗、蓝队检测
  • 实践:搭建实验环境、漏洞复现、编写剧本